di Francesco Pagano, Consigliere Aidr e Responsabile servizi
informatici Ales spa e Scuderie del Quirinale

Una parte fondamentale del piano Next Generation EU riguarda la
digitalizzazione e, in particolare, il processo di ammodernamento a
livello di Pubblica Amministrazione e istituzioni pubbliche. Nel
settore culturale, questa prospettiva rappresenta sicuramente
un’opportunità per accelerare (in alcuni casi avviare) l’introduzione
di sistemi informatizzati per una migliore gestione del patrimonio,
dei siti e della fruizione da parte de cittadini. Un’ottima notizia,
che apre però a una serie di preoccupazioni.
Il rischio, infatti, è che in assenza di una accurata pianificazione
l’occasione vada sprecata. Se l’obiettivo è quello di creare un
sistema ampio e condiviso, la definizione delle strategie per la
digitalizzazione nel settore culturale richiede di partire da una
prospettiva che metta come priorità assoluta la sicurezza.
Dalla privacy alla resilienza ai cyber attacchi
A imporre una particolare attenzione per la cyber security nella
pianificazione delle infrastrutture digitali sono due elementi. Il
primo è legato al concetto di privacy e tutela dei dati dei cittadini.
Uno degli ambiti di applicazione delle nuove tecnologie nel settore
culturale, e in primis in quello museale, è quello della fruizione da
parte del pubblico. La gestione delle prenotazioni e degli accessi
comporta necessariamente il trattamento di dati personali. Un’attività
estremamente delicata, che richiede la predisposizione di standard
rigorosi e procedure che consentano di assicurare l’integrità dei dati
trattati.
Non solo: l’utilizzo di strumenti di comunicazione “smart”, come la
realtà aumentata, comportano forme di interazione con gli stessi
dispositivi utilizzati dai visitatori per accedere ai contenuti
digitali. In altre parole, gli amministratori dei sistemi digitali si
troveranno a gestire quotidianamente una rete estremamente estesa e
mutevole, in cui la gestione della sicurezza rappresenta una priorità
assoluta. In condizioni del genere, infatti, gli effetti di un cyber
attacco possono avere conseguenze estremamente gravi.
Dietro le quinte: garantire l’integrità del sistema
La precondizione per un efficace utilizzo dei sistemi digitali è la
creazione di un sistema a livello nazionale che consenta
l’aggregazione e l’analisi dei dati disponibili su larga scala. In
altre parole, la massima efficacia del processo di digitalizzazione si
ottiene nel momento in cui ogni soggetto si trasforma in un “nodo” che
consente di mettere in comune i dati e di accedere al resto della
rete. Un concetto che può apparire persino ovvio, ma che nel panorama
attuale pone una serie di problemi sotto il profilo della cyber
security. La mappa degli istituti museali nel nostro paese, infatti, è
estremamente variegata e comprende, accanto a eccellenze che hanno
investito in risorse e competenze per garantire la sicurezza dei
sistemi informatici, molte (troppe) realtà che scontano un pesante
ritardo in questo senso.
Affidandoci alla teoria per cui il livello di resilienza complessivo
di una rete è pari a quello del suo punto più debole, il problema
diventa evidente. Prima di raggiungere l’obiettivo di una gestione
condivisa ed estesa dei sistemi informatici, sarà necessario
assicurare un livello adeguato di sicurezza di tutti i nodi che fanno
parte della rete. Un obiettivo, questo, che allo stato delle cose
appare utopistico. Un possibile approccio al processo, di conseguenza,
può essere quello di un’implementazione per gradi, che preveda la
precisa definizione degli standard che gli enti devono sodisfare per
poter “entrare” nel sistema.
L’importanza del fattore umano
A definire il successo di questo percorso saranno, oltre alle risorse
stanziate, le modalità con cui verrà predisposto il quadro di cyber
security nell’ambito culturale. Se l’implementazione di strumenti
tecnici adeguati rappresenta il primo e più ovvio adempimento per
centrare l’obiettivo, il vero discrimine riguarda la capacità di
dotare tutti gli operatori del settore di quelle competenze che
consentono un utilizzo consapevole degli strumenti informatici e, di
conseguenza, il rispetto delle procedure di sicurezza. Si tratta di un
compito di medio-lungo termine, che è bene approntare al più presto.
Nel farlo, infine, sarà necessario tenere conto da subito delle
previsioni che emergeranno nella nuova versione della direttiva
europea e-Privacy, oggetto di negoziato proprio in queste settimane.
Lavorare su un orizzonte diverso, infatti, ci esporrebbe al rischio di
dover rifare tutto da capo.
Meglio, per una volta, pensarci prima.